Muito antes do Brasil iniciar discussões sobre legislações de proteção de dados pessoais e sensíveis, a confidencialidade de informações de cunho médico já eram resguardadas pelo Código de Ética Médica do Conselho Federal de Medicina (CFM). Segundo seu artigo 102, fica vedado “revelar fato de que tenha conhecimento em virtude do exercício de sua profissão, salvo por justa causa, dever legal ou autorização expressa do paciente”.
Infringir a regra acima pode resultar em processos por danos morais à instituição de saúde e até a cassação das credenciais dos profissionais envolvidos. Se essa pressão já não fosse o suficiente, temos observado, ao longo dos últimos anos, um aumento vertiginoso no número de ataques cibernéticos contra empresas que atuam no segmento — alguns deles resultaram na indisponibilidade de serviços e até mesmo na exposição de dados sigilosos.
Em março deste ano, por exemplo, duas filiais de uma grande cooperativa brasileira de planos de saúde tiveram seus sistemas computadorizados derrubados por atores maliciosos, o que causou lentidão no atendimento e paralisação de alguns processos críticos. Também neste ano, tivemos um ataque à unidade fluminense do Instituto Nacional do Câncer (INCA), que foi obrigada inclusive a pausar agendamentos de procedimentos.
Um incidente, várias consequências
De acordo com uma pesquisa realizada pelo laboratório de ameaças da Netskope, o número de ciberataques focados em instituições de saúde — hospitais, cooperativas de seguros, redes farmacêuticas, laboratórios etc. — aumentou 10% ao longo do ano de 2023. Dentre esses ataques, alguns deles resultaram naquilo que chamamos de “mega violações”: vazamentos de dados que comprometem mais de um milhão de registros.
É fácil entender essa tendência. Dados médicos é um dos poucos tipos de dados sigilosos que é protegido não apenas por uma, mas por duas ou até mais legislações e manuais de boas práticas do setor. Além do já citado sigilo médico, temos a Lei Geral de Proteção de Dados (LGPD) no Brasil, a General Data Protection Regulation (GDPR) na Europa e a Health Insurance Portability and Accountability Act (HIPAA) nos Estados Unidos.
Isso significa que, na pior das hipóteses, uma transnacional que sofre um ataque cibernético e tem dados de seus pacientes comprometidos estará sujeita a penalidades de, pelo menos, quatro normativas diferentes que ressaltam a disponibilidade, a integridade e a disponibilidade de informações médicas. Para o cibercrime, atingir tal alvo com um ransomware, por exemplo, é como acertar quatro coelhos em uma só cajadada.
Uma infraestrutura deficiente
Também não podemos nos esquecer de outro fator que colabora para a fragilidade das infraestruturas de TI de empresas do ramo da saúde: a convergência cada vez maior — e muitas vezes despreparada — entre tecnologias operacionais e tecnologias da informação. Isso inclui a modernização de equipamentos, adoção de processos automatizados e aplicação de conectividade em pontos que não foram originalmente projetados para tal.
Um recente levantamento do Team82, equipe de threat intelligence da Claroty, constatou que 63% das vulnerabilidades exploráveis rastreadas pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA estão presentes em redes de instituições de saúde. Além disso, pelo menos 23% dos equipamentos médicos usados em consultórios e laboratórios possuem pelo menos um KEV (sigla usada para se referir a brechas já exploradas).
Ao mesmo tempo em que o segmento se vê obrigado a se modernizar com a acelerada transformação digital em que vivemos, ela também sofre com a missão de proteger sensores inteligentes (IoT), aplicações web/mobile e novas formas disruptivas de otimizar processos com a ajuda de tecnologias emergentes, tanto internamente quanto durante o relacionamento com seus pacientes.
Com diversos cases de sucesso e clientes de renome do setor bancário em seu portfólio, a Eskive se posiciona como a plataforma pioneira em human risk reduction no Brasil. Com treinamentos automatizados e uma ampla biblioteca de simulações de ataque, sua metodologia baseada em métricas garante uma jornada de aprendizagem contínua, com alto nível de engajamento e sem onerar sua equipe.
Uma infraestrutura deficiente
Há muito o que ser feito no campo de soluções tecnológicas e governança de dados para reduzir o número de ciberataques bem-sucedidos no setor médico. Porém, um investimento que não pode ser esquecido é a implementação de programas de conscientização em cibersegurança, que orientam o fator humano a adotar boas práticas perante as ameaças cibernéticas que enfrentamos diariamente.
O uso de treinamentos para a capacitação de colaboradores contra riscos à informação é algo previsto em todas as legislações supracitadas, sendo um elemento crucial para garantir o compliance com as leis vigentes. Ele deve ser composto por conteúdos que engajem, simulações de ataques e métricas fáceis de serem compreendidas para que o próprio programa esteja sempre em evolução em termos de maturidade.
A Eskive, com mais de 14 anos de experiência no mercado, possui plataforma e metodologia próprias que oferecem tudo isso e muito mais. Nossa expertise, aliada com o oferecimento de conteúdos específicos para o setor de saúde, garantem um alto nível de engajamento para educar e reduzir o risco humano. Converse conosco e entenda como estamos ajudando o mercado a atravessar esse desafio!
Converse conosco e entenda como estamos ajudando o mercado a atravessar esse desafio!